Articles / Audit Active Directory : détecter les backdoors avant (ou ap

Audit Active Directory : détecter les backdoors avant (ou après) qu’il ne soit trop tard

ump — Un mot de passe pourri recent 2026-02-03 · Voir sur Substack ↗

Pas d'image extraite du Substack pour cet article. Les posts seront publiés sans image.
← Retour
📢 Tweet Teaser posted
284 chars
Avec lien Substack · Soir 18h30–20h · 30% du mix

Votre AD a 12 ans, 15 admins, jamais audité. Pas besoin d'attaquant : c'est déjà une passoire. ACL fantômes, délégations oubliées, KRBTGT jamais rotaté. Voici comment détecter ce qui se cache sous le capot. https://unmotdepassepourri.substack.com/p/audit-active-directory-detecter-les

📅 26/05 à 19h13 dans 2j
✓ Publié 26/05 à 19h13
🧵 Thread posted
1735 chars
Lien en dernier tweet seulement · Midi 12h–13h30
1/8

1/ Deux scénarios, même urgence : • Post-ransomware : quel backup restaurer sans réimporter les backdoors ? • AD vieillissant : 12 ans de config jamais auditée, des dizaines d'admins différents. Dans les deux cas, il faut cartographier l'invisible.

2/8

2/ Les backdoors AD ne sont pas des malwares. Ce sont des configs légitimes détournées : ACL modifiées, délégations Kerberos, SIDHistory injecté. Elles ne déclenchent aucune alerte antivirus. Elles sont *native*.

3/8

3/ Shadow admins via ACL. Un compte sans appartenance visible à "Domain Admins" peut avoir GenericAll sur la racine du domaine. Ou des droits DCSync via DS-Replication-Get-Changes. Aucun groupe protégé. Aucune trace dans les audits classiques.

4/8

4/ Délégations Kerberos : le cauchemar silencieux. Unconstrained delegation sur un serveur = n'importe quel admin qui s'y connecte devient compromettable. RBCD (msDS-AllowedToActOnBehalfOfOtherIdentity) = modifiable avec un simple droit "Write". Game over.

5/8

5/ SIDHistory : la persistance parfaite. Attribut conçu pour les migrations inter-domaines. Un attaquant injecte le SID d'Enterprise Admins dedans → accès permanent, invisible dans les appartenances de groupe.

6/8

6/ En post-incident : dater la compromission pour trouver le 1er backup sain. En préventif : établir un état des lieux avant que quelqu'un n'entre. Le pire ? 90% des AD n'ont jamais été audités sous cet angle.

7/8

7/ Ces techniques ne demandent pas d'exploit 0day. Juste une méconnaissance structurelle de l'AD, accumulée sur des années. Les backdoors sont déjà là. Il suffit de savoir où chercher.

8/8

8/ Article complet avec méthodologie terrain, outils et IOCs à surveiller : https://unmotdepassepourri.substack.com/p/audit-active-directory-detecter-les

📅 29/07 à 12h53 dans 66j
✓ Publié 29/07 à 12h53
💡 Standalone #1 posted
250 chars
Sans lien · Matin 7h30–9h · 70% du mix

Les backdoors AD les plus vicieuses ne sont pas des malwares. Ce sont des ACL modifiées, des délégations Kerberos oubliées, du SIDHistory injecté. Elles ne déclenchent aucune alerte. Elles sont natives. Et elles survivent aux restaurations de backup.

📅 27/07 à 08h52 dans 64j
✓ Publié 27/07 à 08h52
💬 Standalone #2 posted
242 chars
Sans lien · Matin 7h30–9h · 70% du mix

Votre AD a 12 ans, jamais audité. Des délégations "temporaires" accordées en 2016. Un KRBTGT jamais rotaté. Des comptes de service Domain Admin "parce que c'était plus simple". Pas besoin d'attaquant : l'élévation de privilèges sera triviale.

📅 31/07 à 08h24 dans 68j
✓ Publié 31/07 à 08h24
🔥 Provoc posted
258 chars
Sans lien · Valide avant de publier · Soir 18h30–20h

90% des entreprises cherchent des malwares dans leur AD compromis. Pendant ce temps, les backdoors sont dans les ACL, les délégations Kerberos, le SIDHistory. Vous scannez les mauvais artefacts. C'est pour ça que vous vous refaites pénétrer 3 semaines après.

📅 03/08 à 19h28 dans 71j
✓ Publié 03/08 à 19h28